Pular para o conteúdo principal

Notícia: como funciona a criptografia de dados nos e-mails



Saiba como funciona a criptografia de dados nos e-mails
Notícia veiculada em 02-02-2009 pelo Portal G1 da Rede Globo

Eu estava a algum tempo pensando em escrever uma matéria sobre criptografia de dados, principalmente sobre o PGP e estava me faltando oportunidade. No dia de hoje, lendo matérias sobre segurança da informação, principal mote deste blog, me deparei com um artigo excelente de autoria de Altieres Rohr, especialista em segurança da computação, veiculado pelo portal G1. Assim, segue o referido artigo: "Como você pode ter certeza que um e-mail foi enviado pelo suposto remetente? E como “embaralhar” o conteúdo das mensagens enviadas, de tal forma que elas não possam ser lidas no caso de existir um “grampo” na rede? Existe mais de uma maneira de se fazer isso, mas a mais barata, e assunto desta coluna, é o padrão de criptografia PGP -- o mais usado do mundo. O foco, hoje, são noções sobre criptografia pública e privada, aplicadas no PGP e outros sistemas de codificação de dados. Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
O PGP (“Pretty Good Privacy” - “Privacidade Muito Boa”, em tradução livre e literal) foi criado por Philip Zimmermann em 1991. Inicialmente distribuído gratuitamente, o programa passou a ser vendido pela PGP Inc, fundada pelo próprio Zimmermann em 1996. A empresa foi adquirida em dezembro de 1997 pela Network Associates (como então se chamava a McAfee) e, quando esta perdeu interesse no produto, uma nova empresa chamada PGP Corporation assumiu o legado. Atualmente, qualquer programa pode implementar a criptografia do PGP. As informações para isso estão no documento RFC4880, que define o formato OpenPGP. O GNU Privacy Guard (GPG) é a implementação de software livre mais popular do PGP. Graças à padronização do OpenPGP, os dois aplicativos são compatíveis entre si.
Como funciona o PGP
Embora exista uma série de detalhes sobre algoritmos e tecnologias de criptografia, o mais importante para se entender a respeito do PGP é o sistema de chaves públicas e privadas. Cada usuário do PGP tem pelo menos uma chave privada e uma chave pública correspondente -- este é o “par de chaves” ou “keypair”. Essas “chaves” são apenas arquivos de texto contendo o que parecem ser caracteres aleatórios. Aqui você pode ver um exemplo de chave PGP (abra com o bloco de notas). A chave pública, como o nome sugere, pode ser distribuída livremente. De fato, existem serviços na internet conhecidos como “keyservers” (servidores de chave) que armazenam e indexam esses arquivos para que os usuários consigam encontrá-los com facilidade. Por outro lado, a chave privada precisa ser mantida em absoluto sigilo. Apenas o proprietário, e ninguém mais, deve tê-la armazenada. As duas chaves funcionam sempre em conjunto. Por exemplo, se você quer enviar um e-mail que as pessoas possam verificar que foi enviado por você, a chave privada (que só você tem acesso) será usada para gerar um código chamado de “assinatura”. Esse código é anexado ao e-mail e pode ser verificado usando-se a chave pública. Assim, todos aqueles que têm sua chave pública (e sabem que ela é sua) poderão ter certeza, graças à assinatura, que aquela mensagem realmente partiu de você. Esse processo também garante a integridade do que foi enviado, porque alterações tornarão o código de assinatura inválido. Em outra situação, você pode querer enviar uma mensagem criptografada, ou seja, “embaralhada”, de modo que ninguém possa descobrir o conteúdo da transmissão facilmente, exceto o destinatário. Nesse caso, a chave pública do destinatário é usada para proteger a transmissão, e somente a chave privada dele (que somente ele tem) poderá revelar o que foi criptografado. "
Até a próxima e não deixem de comentar.

Comentários

Postagens mais visitadas deste blog

ARTIGO: VINCULAR FOTOS NO MS ACCESS

por Luís Fernando da Silva Bittencourt

Estes dias estava em um fórum na web e notei a grande dificuldade dos usuários mais inexperientes quanto à vinculação de imagens no MS ACCESS. O recurso de vinculação de imagens serve para não sobrecarregar a base de dados com objetos OLE, pois neste aplicativo as imagens podem ser inseridas diretamente na base de dados, aceitando imagens no formato bmp. Entretanto, “o peso” gerado, dependendo da função da base de dados criada com o Access, logo esgotará a possibilidade de novos cadastros, haja vista existir uma limitação de 4Gb de registros.

Então, ao invés de se inserir uma foto no formato bmp diretamente na base de dados, fica muito mais lógico guardar apenas o caminho desta imagem, fazendo com que o nosso sistema busque a imagem respectiva e a apresente em um formulário de consulta ou relatório.

Para tanto, devemos inicialmente criar na respectiva tabela (objeto do MS Access responsável pela guarda das informações, sendo esta a base de dados pro…

Blogs sobre segurança em português

Hoje, visitando o blog do consultor de segurança da informação Sandro Süffert, achei de muito bom tom a relação que ele postou de blogs em lingua portuguesa que tratam sobre segurança da informação e resposta a incidentes/forense, ficando lisongeado pelo fato do Arquivos Máximus ter sido citado. Tendo em vista a facilidade que tal relação pode gerar à comunidade, concentrando num mesmo espaço ricas fontes de informação, abrangendo várias áreas do espectro criminalístico, vou reproduzir a referida relação, bem como deixar o link no menu lateral "Destaques do Blog", visando facilitar o acesso futuro. Segue a citada relação: Luis Bittencourt - http://arquivosmaximus.blogspot.com
Nelson Brito - http://fnstenv.blogspot.com CrkPortugal - http://www.crkportugal.net (Portugal) Marcelo Souza - http://marcelosouza.com PseudoRandom - http://blog.sapao.net Forense Coputacional - http://forcomp.blogspot.com Think Security First - http://wagnerelias.com Pedro Quintanilha - http://pedroquintanilha…

Destaque: Relação das Portas TCP/IP Mais Usadas!

por Luís Fernando da Silva Bittencourt

Uma das primeiras providências a se fazer quando existe a suspeita de algum tipo de invasão em um microcomputador é a verificação imediata das portas TCP/IP que estão em execução. Normalmente para isso é usado o comando NETSTAT (pretendo postar uma matéria específica futuramente), ou outro método qualquer de preferência do usuário. Entretanto, usuários menos experientes não sabem o tipo de serviço executados pelas portas em questão, para tanto relacionei as principais visado facilitar o entendimento destas, conforme segue: Observação: Para localizar um item específico use "Ctrl + F".
Porta Serviço 1 tcpmux
3
4
5 rje
7 echo
9 discard
11 systat
13 daytime
15 netstat
17 qotd
18 send/rwp
19 chargen
20 ftp-data
21 ftp
22 ssh, pcAnywhere
23 Telnet
25 SMTP
27 ETRN
29 msg-icp
31 msg-auth
33 dsp
37 time
38 RAP
39 rlp
40
41
42 nameserv, WINS
43 whois, nickname
49 TACACS, Login Host Protocol
50 RMCP, re-mail-ck
53 DNS
57 MTP
59 NFILE
63 whois++
66 sql*net
67 bootps
68 bootpd/dhcp
69 Tri…